Nachdem ich heute erneut erfolglos versucht habe mit meinem Freund ein Tagesgeldkonto für ihn einzurichten (Portugiesischer Staatsbürger, wohnhaft und arbeitend in Deutschland) - denn die digitale Identifikation / Post Ident ist nur möglich mit deutschem Ausweis oder alternativ einem Reisepass. Andere Identifikationsmöglichkeiten werden nicht angeboten. Portugiesische ID geht nicht, dtsch Führerschein / Sparkassenkarte etc hilft alles auch nichts. - habe ich mich gerade beim Lage hören gefragt, ob bei solchen digitalen Lösungen auch EU Bügerinnen oder generell Bürgerinnen ohne deutschen Ausweis mitgedacht werden. Ansonsten ist der Brief an die Meldeadresse doch der fairere Weg …

Du beschreibst 1 zu 1 id.bund.de (BundID). Nachteile:
Ist noch an zu wenige Verfahren angeschlossen (kommt aber)
Behörde darf den Weg nur wählen, wenn du den Zugang eröffnest
Es gibt keine Bund.ID-Adresse, die man auf einem Formular eintragen könnte

Falls ihr noch weitere Fundstücke für euer Kuriositäten-Kabinett der Verwaltungsdigitalisierung sucht, haben wir bei FragDenStaat auch noch einen schönen Fall:
Der Landesbeauftrage für Datenschutz und Informationsfreiheit (LfDI) in Rheinland-Pfalz hat sich sein ganz eigenes „analoges Post-Identifizierungsverfahren“ ausgedacht. Erhält der LfDI eine Anfrage auf Informationszugang nach dem Landestransparenzgesetz in elektronischer Form (= per Email), dann fragt er zunächst nach einer postalischen Anschrift (das dürfte für sich genommen schon datenschutzrechtich problematisch sein, siehe OVG Münster, Urt. v. 15.06.2022, s.a. OVG Münster: Postanschrift für einen Auskunftsantrag nach dem IFG nicht benötigt - datenschutzticker.de datenschutzticker.de - Seite 0). Nach Nennung einer Postanschrift schickt er zur Verifzierung der Identität der antragstellenden Person einen Brief (!). Darin wird die Person aufgefordert, zu bestätigen, dass die Email von ihr stamme. So möchte der LfDI nach eigener Auskunft die Identität der Antragstellenden klären und Identitätsmissbrauch verhindern. Das Absurde dabei: Zur „Bestätigung“ der Identität genügt es, eine Email mit dem Inhalt zu schreiben, „Ja die Email kam von mir“. Erst dann (und nur wenn es sich um eine inländische Meldeanschrift handelt) beginnt der LfDI den Antrag nach dem Landestransparenzgesetz überhaupt zu bearbeiten.

Unter anderem wegen diesem Schikanösen vorgehen verklagt FragDenStaat den LfDI mittlerweile auch, näheres zu der ganzen Sache gibt es hier: Klage gegen Landesbeauftragten: Warum Behörden in Rheinland-Pfalz dem Weihnachtsmann antworten, nicht aber FragDenStaat

Ein Punkt der aus meiner Sicht auch gegen E-Mail Verschlüsselung (egal ob PGP oder S/MIME) spricht, ist die Tatsache das viele (vor allem jüngere Menschen) E-Mail nur noch per Webmail Interface verwenden. Insbesondere viele Nutzer von Gmail haben gar keine E-Mail Tool mehr (oder nur die vorinstallierte App). Bis auf ganz wenige Ausnahmen ist dann die Nutzung von Verschlüsselung gar nicht möglich.
In einem geschlossenen Benutzerkreis wie z.B. den GFF Mitarbeiterinnen für die Kommunikation untereinander PGP einzurichten, wenn ich auch noch die IT Umgebung vorgebe ist natürlich möglich. Ich nehme aber an, das auch die GFF nicht ihre gesamte Kommunikation mit Externen mit PGP verschlüsselt. Das wäre dann ja vergleichbar zu einem Landkreis der mit allen seinen Bewohnerinnen kommunizieren will.
Ich denke also die einzige Lösung dafür sind Webportale mit sicherem Zugang. Wenn da dann im schlimmsten Fall einmalig ein Passwort per Brief geschickt wird, halte ich das nicht für dramatisch so lange es idealerweise für alle Bürger ein Portal gibt. Aber da sind wir natürlich wieder bei der allgemeinen Digitalisierungsproblematik, dass im Zweifel jede Kommune da was Eigenes bastelt.

Ja, es gibt einerseits den Prozess, dass eIDs gegenseitig „notifiziert“ werden, also gegenseitig anerkannt. Das ist aber noch in den Kinderschuhen und funktioniert meines Wissens nach nur bei Verwaltungsleistungen.

Dann gibt es noch die eID-Karte für Bürgerinnen und Bürger der EU und des EWR, die technisch der eID gleichgestellt sein sollte. Ob damit aber eine privatwirtschaftliche Identifizierung wirklich funktioniert, weiß ich ebenfalls nicht.

Ansonsten habt ihr doch Glück, 95% der Online-Identifizierung erfolgt doch per Video-Ident. Geht das nicht mit dem portugiesischen Ausweis?

Danke für die Antwort. Nein, Video Ident geht nur mit deutschem Ausweis. Alternativ geht nur ein Reisepass, der alle 5 Jahre abläuft.

Beim Thema Passwort per Post musste ich schmunzeln, kommt es mir doch sehr bekannt vor. Als Betriebsprüferin in der Hessischen Steuerverwaltung bin ich froh über die Möglichkeit, Dokumente über die Cloud HessenDrive zur Verfügung stellen zu können. Das ‚Verfallsdatum‘ des Downloadlinks kann man bei Erstellung deaktivieren, so dass das Dokument zeitlich unbegrenzt heruntergeladen werden kann. Das notwendige Passwort muss zwingend auf anderem Weg bekannt gegeben werden als der Downloadlink. Das Programm bietet zwar theoretisch die Möglichkeit, das Passwort per SMS zu versenden, diese Möglichkeit ist bei uns allerdings gesperrt. Also bleiben nur Postweg oder Telefon. Ich versende das Passwort mittlerweile immer direkt mit der Anordnung, muss dann aber in der Email auf ein Schreiben verweisen, welches die Leute schon vor Wochen erhalten haben. Einfach ist anders, aber immernoch weitaus besser als Post oder Fax

Das ist der Aspekt, der mir in der Diskussion bislang fehlt. Wenn es Informationen sind die (streng) vertraulich sind, dann ist es grundlegende Anforderung der Informationssicherheit diese über zwei verschiedene Medien zu übertragen. Und da haben Kommunen sicherlich heute ein einfaches operatives Problem, da sie wahrscheinlich in den allermeisten Fällen nur Anschrift und E-Mail-Adresse haben.

Das gentrennte Medium könnte ich nur damit umgehen, dass der Adressat selber über Passwort und zweiten Faktor einen sicheren Zugriff hat und nicht jeder, der in Besitz des Links kommt, nur mit einem Faktor auf die Information zugreifen kann. Wohlgemerkt … wenn es (streng) vertrauliche Informationen sind.

Als Nutzer des elektronischen Bürger- und Organisationenpostfachs bin ich bei der elektronischen Kommunikation mit Behörden echt frustriert. Trotz meiner Nutzung von ebo.bund.de, welches mir eine Kommunikation mit fast jeder Behörde im „besten“ elektronischen Format (A4 ) ermöglicht, erhalte ich Antworten immer auf dem herkömmlichen Postweg.

Besonders enttäuschend war eine Sache mit dem Versorgungsamt vor dem Sozialgericht, in der ich die ordnungsgemäße Zustellung meiner Dokumente über den elektronischen Zugang der Stadt verteidigen musste. Sie argumentierten, dass meine Dokumente aufgrund fehlender handschriftlicher Unterschriften niemals formgerecht sein könnten. Es erforderte kräftigen schüttelns durch den Richter, um das Rechtsamt der Stadt davon zu überzeugen, dass meine Dokumente tatsächlich ordnungsgemäß zugestellt wurden.

Und natürlich erhalte ich alle Schriftsätze vom Sozialgericht und den Bescheid des Versorgungsamt am Ende ausschließlich per Post, ungeachtet meiner wiederholten Erklärungen, dass ich bitte bitte wirklich ernsthaft am elektronischen Rechtsverkehr teilnehmen möchte.

Beim Gericht war es einfach besonders krass: Während meine Schriftsätze über das eBO an das Gericht oft am selben Tag an das Rechtsamt per beBPo weitergeleitet werden, dauert der Postweg vom Sozialgericht in der Nachbarstadt zu mir 13-15 Tage, gemessen vom Datum der Einlieferung in die Hauspost beim Gericht bis zum Einwurf in meinen Briefkasten.

Und natürlich ist die Geschäftsstelle des Gerichts berechtigterweise echt genervt dass ich alle drei Tage anrufe und Frage ob die Gegenseite mittlerweile geantwortet hat.

Ich kann dazu aus Behördensicht (ich bin in einer Körperschaft in Hessen) nur sagen, dass es wir DE-Mail und sonstiges elektronischen Schriftverkehr besitzen aber wir nur mit großem Aufwand darüber antworten können.

Der Eingang von Schreiben darüber ist kein Problem. Wir haben dafür zentrale Posteingänge, von denen mir das weitergeleitet wird. Werde ich dann aber gebeten darüber zu antworten, geht das für mich nur mit großem Aufwand. Da ich selbst nur Schreiben selbst oder über eine zentrale Druckstelle verschicken kann. Lediglich beim Gericht, habe ich selbst einen Zugang zu eGericht und kann dort direkt antworten. Bevor ich also mein Schreiben an irgendeine Stelle im Haus schicke (dazu fehlt mir auch die Zeit) und diese bitte das irgendwann mal z.B. per DE-Mail zu verschicken, geht es schneller für mich per Post.

Hallo Lageteam,

zum dem in der Lage der Nation vom 28.11.2023 habt ihr den Fall der Digitalen Kommunikation des Landratsamt Ravensburg thematisiert, bei dem eine E-Mail-Hinweis auf eine digital anstehende Nachricht zugestellt wurde und auf einen Passwort-Versand per Post hingewiesen wurde. Ihr habt dann darauf hingewiesen, dass es ja viele besseren Lösungen z. B. mit PGP-Keys geben würde, die man ja sogar mit seinem digitalen Personalausweis seinen Schlüssel unterschreiben lassen kann.

Was Ihr jedoch aus meiner Sicht übersehen habt ist die Fragestellung, woher das Landsratsamt Ravensburg eigentlich einen eventuell beim Empfänger vorliegenden PGP-Schlüssel oder S/MIME Zertifikat erhalten oder abgefragt haben sollte um direkt eine solche verschlüsselte Kommunikation aufzubauen? Hierfür gibt es meiner Meinung nach keine Lösung am Markt.

Wir haben in der Firma ebenfalls eine Maillösung, bei der beim ersten Verschicken einer verschlüsselten E-Mail diese auf einem Web-Mail-Gateway zum Download geparkt wird und das Passwort für den Zugriff erstmalig auf einem anderen sicheren Weg zum Empfänger kommen muss (z. B. per Post wie beim Landsratsamt Ravensburg). Wenn sich jedoch der Empfänger das erste Mal an dem Web-Mail-Gateway mit dem Passwort angemeldet hat, dann kann dieser danach festlegen, wie zukünftige verschlüsselte Kommunikation erfolgen soll. Unser Gateway bietet hier zum Beispiel die Verschlüsselung mit einem hochgeladenen PGP-Schlüssel, einem S/MIME Zertifikat oder auch über Passwort-Verschlüsselte PDFs an, aber natürlich auch weiterhin der Webbrowser-Zugriff. Das bedeutet, dass diese Passwort-Zustellung nur einmalig notwendig ist und ab dann der verschlüsselte Mailversand automatisiert erfolgt.

Meine Vermutung ist, dass das Landratsamt Ravensburg eine ähnlich Lösung wie unser Unternehmen einsetzt und halte die Vorgehensweise eigentlich für eine ziemlich sinnvolle Lösung der Problematik, die nur beim ersten Austausch komisch daherkommt. Besser wäre es vermutlich, wenn man das Gateway einfach mit der Authentisierung des elektronischen Personalausweise kombinieren würde, jedoch stellt sich dann wieder die Frage, wieviele Empfänger einen solchen funktionierenden Ausweis zur Hand haben und ob es eigentlich Lösungen am Markt gibt, die einen solchen Unterstützen.

Diesen Aspekt wollte ich nur einmal zur Kenntnis bringen.

Ich war auch etwas überrascht über den Vergleich der GFF von Ulf zu einem ganzen Amt. Natürlich kannst du das einer kleineren Organisation „beibringen“, verschlüsselt zu kommunizieren, aber doch keinem Amt.
Wie alle hier im Thread bereits beschrieben haben, ist es absolut zum scheitern verurteilt, PGP oder gar S/MIME einzusetzen.
Ich denke der Blick in die Private Wirtschaft zeigt, dass es keine Skalierbare Lösung ist. Schaut man Auto Hersteller an, wie diese kommunizieren und was für ein komplexes System das benötigt, um (Gateway to Gateway) Verschlüsselt zu kommunizieren, dann will ich nicht wissen, wie das ein Amt übernehmen soll? Und bei Auto-Herstellern sprechen wir von IT Admin spricht mit IT Admin - Selbst da ist es schwierig.

Wir stehen uns hier selbst im Weg - Das ist ja kein Email Problem - Wie man so gerne sagt - Email ist kein Content Austausch Medium. Wir brauchen ein Content Austausch Medium - Etwas was mir einen Link zur Verfügung stellt und von dort kann ich die Datei herunterladen.
S/MIME und PGP sind alt und haben ihre Problem - Aber OneDrive/Dropbox etc. können das komplett ersetzen - Gib mir einen Link, ruf mich an und gib mir ein Passwort - Oder eID etc.

Aber es ist doch nicht so, als ob Deutsche weniger Digital Natives sind als in anderen Laendern? Also die Erklaerung „zu viele brauchen den Brief“ kann doch schon garnicht stimmen, wenn es in anderen Laendern auch ohne Brief geht?

Hier in Daenemark identifiziert sich jeder mit ner ID ueber den Staat. Ob du dich beim Finanzministerium einloggen willst um deine Steuern zu erklaeren, ob du dich bei der Bank einloggst, oder beim Arzt. Alles digital. Ueberall der selbe Login. Das System wurde im letzten Jahr geaendert:

• Der Vorgaenger (NemId) war username, pincode (beides vom Burgerzentrum physisch bekommen). Dritte Verifikation war eine tan, entweder vom Tanblock (von der Post, fuer die digital weniger natives), oder von der handy app.
• Die neue Anwendung (MitId) hat nur username. Verifikation ueber Smartphone app, zusaetzlich zu QR codes (womit gecheckt wird dass der Handybesitzer in der Tat gerade vor dem Bildschirm sitzt).

Ich nehme mal an, dass sie gemerkt haben, dass der Tanblock in der alten Methode so selten genutzt wird, dass sie ihn sich hier gespart haben (oder vielleicht gibt es weiterhin eine offline methode).

Hier in Daenemark geht alles (alles!) mit diesem Login. Und das System ist wirklich einfach, man braucht halt ein Smartphone.

Oh, ganz vergessen: natuerlich gibt es auch digitale Post (vom Staat, oder von Firmen), die man mit diesem Identifikationssystem lesen kann. Mein Briefkasten war die letzten 3 Jahre leer.

Dann hat man in Dänemark mehr Vertrauen in den Staat. Dass dieser diese Daten schützt und nur dafür benutzt, wofür sie ursprünglich gedacht waren. Und keine Verknüpfungen herstellt um Profile zu bilden.

Nebenbei: Wie funktioniert das dann für Ausländer?

Was ja für alte Leute immer noch ein Problem ist. Mein Vater ist 80+, dem bekomme ich eine Smartphone Bedienung nicht mehr beigebracht (ich habe es versucht).

Politik in Daenemark funktioniert gut. Parteien stellen das Wohl des Landes ueber das Wohl der Partei (es gab z.B. hier keine FDP, die waehrend Corona Wahlfang mit Kritik an Pandemiepolitik betrieben hat, stattdessen hat das Parlament (inklusive Opposition, ohne dass deren Stimmen notwendig gewesen waeren) gemeinsam Richtlinien verabredet, verstehend, dass es keine Regel perfekt ist und man immer kritisieren koennte, wenn man woellte.

Und weil die Politik so gut funktioniert, stoeren sich die Menschen nicht so sehr an der Zentralisierung (kann man es Vertrauen nennen, wenn es auf guten Erfahrungen basiert). Das deutsche Misstrauen ist wohl sehr in unserer Vergangenheit begruendet (und der theoretischen Moeglichkeit, dass AfD & Co wieder (teilweise) an Macht kommen.

Was deinen Vater angeht: mein 73-jahre alter Vater, ein Leben lang Feind von Computern und Technologie (hatte dementsprechend nicht mal ein einfaches Handy) hat im letzten Jahr das Skypen via iPhone gelernt. Und ganz ehrlich: wenn man 80 Jahre alt ist, kann man vielleicht nicht mehr alles selbststaendig, dafuer ist die Welt zu kompliziert. Die Messlatte kann nicht sein „jeder muss es nutzen koennen“, da wirst du z.B. Mitmenschen mit geistiger Behinderung nicht abholen koennen.

Immerhin sind smartphones inzwischen so guenstig, dass ihre Verpflichtung kein Ausgrenzungskriterium mehr ist. Und die authorisation (siehe unten), ist wirklich an Einfachheit kaum zu ueberbieten:

1. Gib deinen usernamen auf der Webseite (Arzt, wo auch immer) an, bestaetige mit „Ok“
2. Klick ob du dein Smartphone nutzen moechtest, oder eine andere Anwendung (falls du auf dem Computer auch die Software installiert hast)
3. Geh in dein Handy, oeffne die Nem-id software
4. Halt dein Gesicht in die Kamera fuer Face-id
5. Halte das Handy vor den Bildschirm sodass der QR code (der nun eingeblendet wird) in der Kamera gelesen wird)
6. Es kommt text: „Willst du dich beim Arzt einloggen?“. Ziehe Regel nach rechts / klicke ok.

Das mit dem QR-code ist vielleicht etwas kompliziert, aber immerhin werden dann keine Senioren uebers Telefon gescammed.

Ich hab gerade noch mal recherchiert: der Nem-ID Login wird von einer privaten Firma angeboten. Im Detail konnte ich nicht heraus finden, wie die Verschluesselung genau von Statten geht, und inwiefern externe Kontrolle stattfindet.

Das neue system ist eine Public-private partnership, und bietet auch Alternativen zur Smartphone-Loesung an – bitte Entschuldige die fruehere Falschaussage.

Man muss sich beim Umzug nach Dänemark anmelden. Dafür muss Mensch ein oder zwei mal persönlich zu den Behörden. Dabei bekommt Mensch eine CPR Nummer und kann damit seine MitID erstellen.

Für das Erstellen ist eine neue Identifikation notwendig. Das geht u.a. in Person mit einer Zeugin (zur Bestätigung der Person) oder aber auch einfach digital mit einem Reisepass oder ID per App. Damit ist man dann im System und kann alles machen ohne noch mal aufs Amt zu müssen.

Was ja auch begründet ist. Eine der guten Gründe gegen den Aufbau eines Staates, der den Bürger vollumfänglich überwachen kann (ausdrücklich „kann“, nicht „wird“). Denn es wird ggfs anderen Regierungen in die Hände fallen, die eben nicht von „kann“ sondern von „muss“ träumen.

Tatsächlich konnte ich mit meinem damals 73-jährigen vater noch skypen (per Tablet, auf dem fast ausschließlich nur Skype installiert war, damit wir uns auch mal sehen konnten). Selbst diese Bedienung ist heute quasi so unmöglich geworden, dass wir sie einstellen mussten. Der Unterschied zwieschen ihm damals und heute ist beachtlich. Ja, das mag anekdotisch sein, aber meine Freunde beobachten Ähnliches.

Puh, mutig gesprochen, spätestens wenn Du weiter unten Features aufzählst, die dann doch wieder bei Smartphones im Bereich 300€ aufwärts enthalten sind (Face-ID). Aber gut, könnte man ja in die Grundsicherung einbauen.
Allerdings hat die mitID auch andere, technisch einfachere Lösungen. Siehe:

Ah, die Nexi Gruppe, die kenne ich beruflich. Die machen allgemein Zahlungsdienstleistungen. Deswegen würde ich mal spontan von technisch validen Sicherheitssetting ausgehen (ohne das überprüfen zu können). Die Frage ist dann eher, wo die Daten landen und wie die dann privat weiter genutzt werden.

Online-Ausweisfunktion: Kritische Schwachstelle erlaubt Übernahme der Identität

Es ist zwar (noch) nicht der Super-GAU, aber macht nun wirklich nachdenklich: Online-Ausweisfunktion: Kritische Schwachstelle erlaubt Übernahme der Identität | heise online

Ich bin wahrlich kein Gegner der Digitalisierung, im Gegenteil: wir haben noch zu wenige Prozesse digitalisiert. Aber Weltmeister in Punkto IT-Sicherheit sind wir wahrlich auch nicht.

Und wer soll von uns entscheiden, wer recht hat: BIS oder CtrlAlt?

Dann vielleicht doch lieber eine Postkarte?

Diese Schwachstelle ist alles andere als neu und hängt prinzipbedingt damit zusammen, dass die PIN auf einem potentiell unsicheren Gerät eingegeben wird.

https://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa

Nun hat die AusweisApp die Funktion die Anwendung der eID zugänglicher zu machen. Denn wer möchte schon ein dediziertes Smartcardterminal mit Tastatur anschaffen um die elektronische Ausweisfunktion zu benutzen?

Dass dann jemand die PIN abfischt und diese für eine für den User nicht sichtbare Aktion nutzt ist aus meiner Sicht bei dieser Hardware (Smartphone oder PC) der ich nicht vertrauen kann, nicht in der Griff zu bekommen.

Dass das BSI da keine Schwachstelle sieht ist natürlich etwas fragwürdig. Könnte aber auch damit zu tun haben, dass die AusweisApp unter der Verantwortung des BSI steht. Am Ausweis selbst liegt die Schwachstelle ja nicht.